Anticisco http://anticisco.ru/forum/ |
|
SIP Trunk через NAT http://anticisco.ru/forum/viewtopic.php?f=2&t=11802 |
Страница 1 из 1 |
Автор: | smailnet [ 29 ноя 2022, 21:16 ] |
Заголовок сообщения: | SIP Trunk через NAT |
Понимаю, тема уже была обсосана много раз и не думал, что придется мучатся с этим, но нет. Дано Роутер - Cisco 2900, на порту Gi0/0 белый ИП a.b.c.48 Есть офисная сеть, 10.0.0.0/24 ходит череp NAT в Интернет, тут все ОК. в сети есть АТС (древняя) которая может SIP Trunk 12 линий. ИП - 10.0.0.128 Есть пару опубликованных внутренних серверов, (443 и 25 порты) И пока АТС ходила в Интернет через свой маленький домашний роутер (со своим другим реальным ИП) - было все ОК, но он приказал долго жить. Пришлось переводить все на одну циску. SIP работает на не стандартном порту (UDP 5070). Имеем - звонки наружу проходят, но не устанавливаются (нет голоса ни в одну сторону) Звонки внутрь вообще не проходят. Что есть в конфиге: ip inspect name FW sip interface GigabitEthernet0/0 description INTERNET ip address a.b.c.48 255.255.255.0 ip access-group INTERNET_FIREWALL_IN in ip access-group INTERNET_FIREWALL_OUT out ip nat outside ip virtual-reassembly in interface GigabitEthernet0/1.501 description Customer LAN encapsulation dot1Q 501 ip address 10.0.0.6 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip pim sparse-mode ip nat inside ip inspect FW in ip virtual-reassembly in ip nat translation timeout 14400 ip nat translation tcp-timeout 14400 ip nat service sip tcp port 5070 ip nat service sip udp port 5070 ip nat inside source route-map AppOffload interface GigabitEthernet0/0 overload route-map AppOffload permit 10 match ip address NAT_ACL match interface GigabitEthernet0/0 ip access-list extended NAT_ACL permit ip 10.0.0.6 0.0.0.255 any ip access-list extended INTERNET_FIREWALL_IN deny ip 0.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any permit icmp any any permit udp any any eq isakmp permit esp any any permit tcp any any eq 4500 permit udp any any eq non500-isakmp permit udp any any eq bootpc permit udp any eq domain any permit tcp any eq www any established permit tcp any eq 443 any established permit tcp any any eq smtp permit tcp any any eq www permit gre any any permit udp any any eq 5070 permit udp any any eq 5060 Уже все перепробовал - не выходит каменный цветок |
Автор: | Bessmertniy [ 30 ноя 2022, 19:26 ] |
Заголовок сообщения: | Re: SIP Trunk через NAT |
Настройте CUBE и не мучайте инспекты. |
Автор: | smailnet [ 01 дек 2022, 14:18 ] |
Заголовок сообщения: | Re: SIP Trunk через NAT |
Чем мне в моем примере поможет CUBE, если сама циска в звонках ни как не участвует, только рулит сетью? Да и лицензии на CUBE у меня нет. |
Автор: | tr33ks [ 01 дек 2022, 14:35 ] |
Заголовок сообщения: | Re: SIP Trunk через NAT |
Надо навешивать инспект на внешний интерфейс. |
Автор: | smailnet [ 01 дек 2022, 14:58 ] |
Заголовок сообщения: | Re: SIP Trunk через NAT |
Сейчас и стоит на внешнем - ноль изменений. Во время вызова смотрю сессии: sh ip inspect sessions | i sip Session 3E8F0A50 (193.201.229.35:5070)=>(a.b.c.48:5060) sip SIS_OPEN Session 3E8E9A30 (10.181.254.128:5060)=>(193.201.229.35:5070) sip SIS_OPEN Session 3E8E9190 (193.201.229.19:32390)=>(a.b.c.48:2056) sip-RTP-data SIS_OPENING Pre-gen session 3E8F0600 193.201.229.35[1024:65535]=>a.b.c.48[5060:5060] sip Pre-gen session 3E8EDF30 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data Pre-gen session 3E8E9808 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data Pre-gen session 3E8E9C58 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data Pre-gen session 3E8F48D8 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data Pre-gen session 3E8EE158 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data Pre-gen session 3E8EF6E8 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data Pre-gen session 3E8E8F68 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data Pre-gen session 3E8F3BE8 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data Pre-gen session 3E8F4260 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data Pre-gen session 3E8EDD08 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data Pre-gen session 3E8EA0A8 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data Pre-gen session 3E8F3E10 193.201.229.19[1024:65535]=>a.b.c.48[2056:2056] sip-RTP-data Pre-gen session 3E8F4D28 193.201.229.19[1024:65535]=>a.b.c.48[2057:2057] sip-RTCP-data Pre-gen session 3E8EC9A0 a.b.c.48[1024:65535]=>193.201.229.19[32390:32390] sip-RTP-data Pre-gen session 3E8F03D8 a.b.c.48[1024:65535]=>193.201.229.19[32391:32391] sip-RTCP-data Pre-gen session 3E8EB860 a.b.c.48[1024:65535]=>193.201.229.35[5070:5070] sip Видно, что сигнальная сессия установлена, а голосовая - нет. Циска почему то не открывает порт (я так понимаю Pre-gen session - это запрос на открытие). |
Автор: | Silent_D [ 04 дек 2022, 23:40 ] |
Заголовок сообщения: | Re: SIP Trunk через NAT |
Bessmertniy писал(а): Настройте CUBE и не мучайте инспекты. +1 Это делается через SIP SBC (он же CUBE). Чтобы не бороться с NAT/FW и SIP ALG. DSP (PVDM) для этого не нужны, если нет транскодинга. Лицензии на Voice (uck9) будет достаточно. smailnet писал(а): Чем мне поможет CUBE Судя по приведенному конфигу и реакции, ничем. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |